Cisco AsyncOS Yazılımında Kritik 0-Gün Açığı
Cisco, Asynchronous Operating System (AsyncOS) yazılımında bulunan ve aktif bir şekilde istismar edilen kritik bir 0-gün açığı konusunda kullanıcıları uyardı. Bu zayıflığın, “UAT-9686” kod adıyla bilinen, Çin menşeli bir tehdit aktörü tarafından hedef alınan Cisco Secure Email Gateway ve Cisco Secure Email and Web Manager üzerinde kullanıldığı belirtiliyor.
Tehditin Boyutu
Cisco’nun 10 Aralık 2025’te farkına vardığı bu saldırı, internete açık belirli portlara sahip bir “sınırlı alt küme cihaz” ile sınırlıdır. Kullanıcılar için ne kadar sayıda cihazın etkilendiği henüz bilinmemektedir. Cisco, bu açığın kötüye kullanımının, etkilenmiş bir cihazın altındaki işletim sisteminde kök yetkileri ile rastgele komutlar çalıştırma imkanı tanıdığını vurgulamaktadır.
CVE-2025-20393 Ve Kritik Skoru
Henüz düzeltilmemiş olan bu zayıflık, CVE-2025-20393 olarak izlenmektedir ve CVSS skoru 10.0’dır. Bu durum, kötü giriş doğrulaması yoluyla tehdit aktörlerinin işletim sisteminde yetkilendirilmiş bir şekilde kötü niyetli talimatları çalıştırabileceği anlamına gelmektedir.
Etkilenmiş Cihazlar ve Gereken Koşullar
Cisco AsyncOS yazılımının tüm sürümleri bu durumdan etkilenmektedir. Ancak, başarılı bir istismar için aşağıdaki koşulların sağlanması gerekmektedir:
- Cihazın Spam Quarantine (Spam Karantina) özelliği ile yapılandırılmış olması,
- Spam Quarantine özelliğinin internete açık ve ulaşılabilir olması.
Spam Quarantine özelliği varsayılan olarak etkin değildir. Kullanıcıların, bu özelliğin etkin olup olmadığını kontrol etmeleri önerilmektedir.
Tehdit Aktörlerinin Kullanım Araçları
Cisco tarafından gözlemlenen istismar faaliyetleri, UAT-9686’nın bu zayıflığı kullanarak, ReverseSSH (AquaTunnel) gibi tünelleme araçları ve AquaPurge adlı bir log temizleme aracı indirdiği saptanmıştır. AquaTunnel, daha önce Çinli hacker grupları APT41 ve UNC5174 ile ilişkilendirilmiştir. Ayrıca, AquaShell adında hafif bir Python arka kapısı kullanılarak, şifrelenmiş komutlar alınıp yürütülmektedir.
Güvenlik Önlemleri ve Öneriler
Pazara henüz bir yamanın gelmemesi durumunda, kullanıcılar aşağıdaki güvenlik önlemlerini almalıdır:
- Cihazları güvenli bir yapılandırmaya geri yüklemek.
- İnternetten erişimi sınırlandırmak ve yalnızca güvenilir hostlardan gelen trafikleri kabul edecek şekilde firewall arkasına almak.
- Yönetim işlevselliğini ayrı ağ arayüzlerine dağıtmak.
Ek olarak, kullanılmayan ağ hizmetlerini kapatmak, güçlü son kullanıcı kimlik doğrulama yöntemleri kullanmak ve varsayılan yönetici şifresini daha güvenli bir alternatifle değiştirmek öneriliyor.
Cisco, herhangi bir cihazın kesin olarak etkilenmesi durumunda, bu cihazların yeniden yapılandırılması gerektiğini belirtmektedir.
CISA’nin Uyarısı ve Önemli Gelişmeler
Bu gelişmeler, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından CVE-2025-20393 zayıflığını Bilinen İstismar Edilen Zayıflıklar (KEV) kataloğuna eklemesi gerektirmiştir. Federal İdari Yürütme Dairesi’ne (FCEB) bağlı ajansların 24 Aralık 2025 tarihine kadar gerekli önlemleri alması istenmiştir.
GrayNoise, büyük ölçekli bir otomatize edilmiş kimlik doğrulama kampanyasının mevcut olduğunu ve Cisco SSL VPN ile Palo Alto Networks GlobalProtect portallarını hedef aldığını bildirmiştir. 11 Aralık 2025 tarihinde, otomatik oturum açma girişimlerinin 10,000’den fazla IP adresinden gerçekleştirildiği kaydedilmiştir.
Bu süreç, ağ güvenliğini sağlamak ve olası tehditleri minimize etmek adına kritik bir dönemdir. Kendi sistemlerinizi ve cihazlarınızı korumak için gerekli önlemleri almak oldukça önemlidir.
